FBI har gitt ut en ny melding om Cuba løsepenger, som forklarer at gruppen har angrepet “49 enheter i fem kritiske infrastruktursektorer” og tjent minst 43,9 millioner dollar i løsepenger.
I en melding som ble sendt ut på fredag, sa FBI at gruppen retter seg mot virksomheter innen finans-, regjerings-, helse-, produksjons- og informasjonsteknologisektoren mens de bruker Hancitor malware for å få tilgang til Windows-systemer.
“Cuba løsepengevare distribueres gjennom Hancitor malware, en loader kjent for å slippe eller utføre stjelere, slik som Remote Access Trojans (RATs) og andre typer løsepengevare, til ofrenes nettverk,” forklarte varselet, og bemerker at de krypterte filene har filtypen “.cuba”.
“Hancitor malware-aktører bruker phishing-e-poster, Microsoft Exchange-sårbarheter, kompromitterte legitimasjon eller legitime Remote Desktop Protocol (RDP)-verktøy for å få første tilgang til et offers nettverk. Deretter bruker Cuba løsepengevareaktører legitime Windows-tjenester – som PowerShell, PsExec, og andre uspesifiserte tjenester – og deretter utnytte Windows Admin-privilegier for å kjøre løsepengeprogramvare og andre prosesser eksternt.”
De iøynefallende løsepengene ble overskygget av mengden penger gruppen har krevd fra ofrene, som FBI har satt til 74 millioner dollar.
Når et offer er kompromittert, installerer og kjører løsepengevaren et CobaltStrike-beacon mens to kjørbare filer lastes ned. De to filene lar angripere skaffe seg passord og “skrive til det kompromitterte systemets midlertidige (TMP) fil.”
“Når TMP-filen er lastet opp, slettes 'krots.exe'-filen og TMP-filen kjøres i det kompromitterte nettverket. TMP-filen inkluderer Application Programming Interface (API)-kall relatert til minneinjeksjon som, når den er utført, sletter seg selv fra systemet. Ved sletting av TMP-filen begynner det kompromitterte nettverket å kommunisere med et rapportert skadevarelager som ligger på Montenegro-baserte Uniform Resource Locator (URL) teoresp.com,” forklarte FBI.
“Videre bruker Cuba-ransomware-aktører MimiKatz-malware for å stjele legitimasjon, og bruker deretter RDP til å logge på den kompromitterte nettverksverten med en spesifikk brukerkonto. Når en RDP-tilkobling er fullført, bruker Cuba-ransomware-aktørene CobaltStrike-serveren til å kommunisere med den kompromitterte brukerkonto. En av de innledende PowerShell-skriptfunksjonene tildeler minneplass for å kjøre en base64-kodet nyttelast. Når denne nyttelasten er lastet inn i minnet, kan den brukes til å nå den eksterne kommando-og-kontroll-serveren (C2) og deretter distribuere neste trinn av filene for løsepengevaren. Den eksterne C2-serveren ligger på den ondsinnede URL-adressen kurvalarva.com.”
FBI inkluderte annen angrepsinformasjon i tillegg til et eksempel på løsepenger og e-post som angriperne vanligvis inkluderer.
Ransomware-eksperter ble noe overrasket over hvor mye penger gruppen tjente med tanke på aktivitetsnivået deres i forhold til andre mer fremtredende løsepengevaregrupper.
Emsisofts trusselanalytiker Brett Callow sa at rapporten illustrerte hvor lukrativ løsepengevareindustrien vurderer at Cuba løsepengevaregruppen ikke er på topp ti-listen deres når det gjelder aktivitet.
Dataene hans viser 105 Cuba-ransomware-innleveringer i år sammenlignet med 653 for Conti-ransomware-gruppen.
“Dette fremhever virkelig hvor mye penger det er å tjene på løsepengevare. Cuba er en relativt liten aktør, og hvis de tjente 49 millioner dollar, ville andre antrekk ha tjent betydelig mer,” sa Callow til ZDNet. “Og dette er selvfølgelig grunnen til at løsepengevare er et så vanskelig problem å håndtere. De enorme belønningene betyr at folk vurderer risikoen som verdt.”
Siden januar har gruppen drevet en lekkasjeside, og blitt en av de mange løsepengevaregruppene som truer med å frigi stjålne data hvis ofrene ikke betaler.
McAfee Advanced Threat Research Team ga ut en detaljert rapport om gruppen i april, og la merke til mange av de samme tingene som FBI fant i analysen deres. McAfee-forskere fant også at selv om gruppen hadde eksistert i årevis, begynte den nylig å presse ut ofre med lekkasjestedet.
Gruppen retter seg typisk mot selskaper i USA, Sør-Amerika og Europa. McAfee sa at gruppen har solgt stjålne data i noen tilfeller.
“Cuba løsepengevare er en eldre løsepengevare som har vært aktiv de siste årene. Aktørene bak den gikk nylig over til å lekke de stjålne dataene for å øke virkningen og inntektene, omtrent som vi nylig har sett med andre store løsepengevarekampanjer,” forklarte McAfee-rapporten.
“I vår analyse observerte vi at angriperne hadde tilgang til nettverket før infeksjonen og var i stand til å samle inn spesifikk informasjon for å orkestrere angrepet og ha størst innvirkning. Angriperne opererer ved hjelp av et sett med PowerShell-skript som gjør dem i stand til å flytt sideveis. Løsepengene nevner at dataene ble eksfiltrert før de ble kryptert.”
Gruppen skapte bølger i februar da de angrep betalingsbehandleren Automatic Funds Transfer Services, og tvang flere amerikanske stater til å sende ut varselbrev om brudd. Først rapportert av Bleeping Computer, involverte angrepet tyveri av “økonomiske dokumenter, korrespondanse med bankansatte, kontobevegelser, balanser og skattedokumenter.” Hendelsen forårsaket også betydelig skade på selskapets tjenester i flere uker.
Flere stater var bekymret fordi de brukte selskapet til en rekke tjenester som ga dem tilgang til folks navn, adresser, telefonnumre, lisensnummer, VIN-nummer, kredittkortinformasjon, papirsjekker og andre faktureringsdetaljer, ifølge Bleeping Computer. Delstaten California og flere byer i delstaten Washington ble berørt og sendte ut varselbrev om brudd.
Allan Liska, en løsepengevareekspert hos Recorded Future, sa at FBI-rapporten også viste observerbarhetsproblemet med løsepengevarelandskapet.
“Det var 28 ofre publisert på utpressingsstedet Cuba, men FBI visste om minst 49 ofre. Vi visste bare om 1/2 av ofrene deres,” sa Liska.
“Til tross for det lille antallet ofre, viser FBI at de tjente minst 43,9 millioner dollar at løsepengevare fortsetter å være ekstremt lønnsomt for disse trusselaktørene. Målene deres hadde en tendens til å være mellomstore organisasjoner og ble spredt over hele verden. Jeg tror det viser det er mye vi ikke vet.”
Sikkerhet
Her er den perfekte gaven for å beskytte alle med en PC, Mac, iPhone eller Android Hit by ransomware? Ikke gjør denne første åpenbare feilen Over en million WordPress-nettsteder ble brutt Hackere brukte denne programvarefeilen til å stjele kredittkortopplysninger fra tusenvis av nettforhandlere. Regjeringen – USA